杀毒软件被“杀” 连声“救命”都没喊

　　现在的木马、病毒融入了很多最新的技术，系统中的杀毒软件纷纷被“杀”，竟然连声“救命”都没有来得及喊，就悄无声息地倒下了。这让崇尚安全第一的我们怎么忍受?杀毒软件“出师未捷身先死”，确实有些窝囊。这除了自身的原因外，我们应该从系统找找根源，让它更健壮，使它名副其实，至少在被杀之前喊声“救命”!

　　一、案例追踪

　　案例一：卡巴斯基被“咔嚓”了

　　1.症状：桌面右下角的卡巴斯基的图标变灰，系统安全实时监控停止，系统时间被改。双击卡巴图标提示：授权过期，购买新的授权文件。更改回系统时间，卡巴斯基图标变红，但不一会再次变灰，系统时间也被改。(图1)

　　图1

　　2.原因：卡巴斯基的正版认证方式成了卡巴的软肋。由于卡巴斯基会为了防止盗版，实时检测系统日期，以判断软件是否已经超过授权的使用期限。当发现软件许可过期时会立即关闭所有的监控，同时主程序也无法扫描病毒，并且需要用户输入新的序列号。所以这是没办法的事，一直以来卡巴都如此!因此只要一个批处理文件，就“杀”死了卡巴。

　　@echo off

　　setdate=%date%

　　date 1987-02-06

　　ping-n 45 localhost >nul

　　date %date%

　　病毒、木马在运行之前，先释放并运行类似的脚本文件，解决掉卡巴，然后自己大摇大摆地进驻系统。

　　3.救治：

　　第一步：更改回系统时间。(最好在安全模式下。)

　　第二步：在“开始菜单”→“运行”(里输入gpedit.msc，打开组策略，依然选择“计算机配置→windows设置”→安全设置→本地策略→用户权利指派→更改系统时间”(右边)，然后双击(或者是右键单击，选择“属性”)打开“更新系统时间配置”属性对话框，把里面所有权限用户名全部删除，然后点击确定，重启计算机。这样做的原理是取消用户更改时间的权限，因为病毒大都是以当前用户的权限运行的，用户没有相关权限，病毒、木马也就不能。

　　第三步：重启系统后卡巴斯基就可以运行，进行全面杀毒。手工清除注册表中的自启动项下的相关键值。

　　提示：一旦删除，时间就可以得到保障，将来如果想要更改时间的话，可以通过添加用户和组来新建一个帐户，然后就可以更改时间了。或者在组策略中恢复用户更改时间的权限。(图2)

　　图2

　　案例二：瑞星被劫持

　　1.症状：开机后瑞星实时监控没有运行，打开“任务管理器”，没有与瑞星相关的进程。快捷方式运行瑞星没有任何反映。到瑞星的安装目录下，目录下的文件没有更改或者删除的迹象。

　　2.原因：WINDOWS NT系统在试图执行一个从命令行调用的可执行文件运行请求时，先会检查运行程序是不是可执行文件，如果是的话，再检查格式的，然后就会检查注表"HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImageFileExecution Options"项下该命令对应的程序文件，如果有就执行对应的程序文件，没有的话执行真正的程序文件。因为这个注册表项的优先级高，因此就会产生欺骗，也就是映像劫持。瑞星2008比较好地杜绝了taskkill、ntsd命令对其进程的操作，但没有解决映像劫持。病毒木马通过添加相关的项，让自己运行而瑞星不能运行。然后病毒、木马就可以屠城了，对系统肆意杀戮，当然包括瑞星。

　　比如通过一个批处理就可以让QQ劫持瑞星：

　　@echo off

　　reg add "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRavTask.exe"

　　reg add "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRavTask.exe" /v RavTask.exe /t REG_EXPAND_SZ /d %*%

　　exit

　　注：*为你的QQ主文件的路径。